[решено] WSUS за шлюзом KWF - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- WSUS (http://forum.oszone.net/forumdisplay.php?f=99)

- - [решено] WSUS за шлюзом KWF (http://forum.oszone.net/showthread.php?t=188977)

WSUS за шлюзом KWF

Сервер с WSUS: Windows 2003 Server SP2, DC, WSUS v3.2.7600.226, LocalIP 192.168.1.200
Интернет-шлюз: Windows 2003 Server SP2, Kerio Winrote Firewall v6.6.0
На данный момент политика трафика на шлюзе такая:
Файл 53171
При таком раскладе все нормально работает.

Хочу настроить политику трафика таким образом, чтобы сервер с WSUS мог только скачивать обновления для WSUS, а больше в Интернет никуда вылезти не мог.
Согласно рекомендациям Microsoft по настройке фаервола попробовал в KWF выше правила "Общий доступ в Интернет" добавить вот это:
Файл 53172

Теперь WSUS не может обновиться. В сведениях синхронизации говорит про ошибку HTTP:

Код:

WebException: Невозможно соединиться с удаленным сервером ---> System.Net.Sockets.SocketException: Попытка установить соединение была безуспешной, т.к. от другого компьютера за требуемое время не получен нужный отклик, или было разорвано уже установленное соединение из-за неверного отклика уже подключенного компьютера 65.55.25.60:443 в System.Net.HttpWebRequest.GetRequestStream(TransportContext& context) в System.Net.HttpWebRequest.GetRequestStream() в System.Web.Services.Protocols.SoapHttpClientProtocol.Invoke(String methodName, Object[] parameters) в Microsoft.UpdateServices.ServerSyncWebServices.ServerSync.ServerSyncProxy.GetAuthConfig() в Microsoft.UpdateServices.ServerSync.ServerSyncLib.InternetGetServerAuthConfig(ServerSyncProxy proxy, WebServiceCommunicationHelper webServiceHelper) в Microsoft.UpdateServices.ServerSync.ServerSyncLib.Authenticate(AuthorizationManager authorizationManager, Boolean checkExpiration, ServerSyncProxy proxy, Cookie cookie, WebServiceCommunicationHelper webServiceHelper) в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.SyncConfigUpdatesFromUSS() в Microsoft.UpdateServices.ServerSync.CatalogSyncAgentCore.ExecuteSyncProtocol(Boolean allowRedirect)

В логах KWF (Протоколы-filter) видно, что Kerio обрубает соединения с сервером Microsoft:
Файл 53173

Что я делаю не так?
Заранее благодарен за помощь.

Цитата:

Цитата old_nick

Что я делаю не так?
Заранее благодарен за помощь. »

в логе KWF явно указаны IP адреса на которые ломится WSUS.
не смотря на то, что они не ресолсятся, я вам подскажу - это AKAMAI =)
http://ru.wikipedia.org/wiki/Akamai
поэтому вам придётся некоторое время поанализоровать логи и внести в список разрешённых адресов сети акамая.
советую добавлять их с маской /16, а не 24 =)

cameron, спасибо за информацию. Стал разбираться - оказывается, и time.windows.com тоже завязано на AKAMAI.

Цитата:

Цитата cameron

не смотря на то, что они не ресолсятся »

Тут не совсем понял. Простите мою необразованность. Это от слова resolve? Вы имеете в виду, что при запросе домена по имени (скажем, microsoft.com) AKAMAI будет подсовывать постоянно меняющиеся IP-адреса?
А сколько анализировать придется? И где гарантия, что вычисленная подсеть не изменится в ближайшем будущем?

Цитата:

Цитата old_nick

я имею ввиду что при попытке отресолвить IP адрес вы получите отсутствие записи.

Цитата:

Цитата old_nick

А сколько анализировать придется? »

регулярно, как только увидите что WSUS перестал тянуть апдейты =)

Цитата:

Цитата old_nick

И где гарантия, что вычисленная подсеть не изменится в ближайшем будущем? »

нигде

Чувствую, придется разрешить для WSUS-сервера любой входящий трафик по HTTP и HTTPS...

Цитата:

Цитата old_nick

Чувствую, придется разрешить для WSUS-сервера любой входящий трафик по HTTP и HTTPS... »

ну потратить 5 минут два раза в месяц конечно не судьба..

После анализа логов Kerio добавил в правило WSUS две подсети.
Файл 53381
Вроде все работает, в фильтре чисто.
Кстати, подсунув IP-адреса из этих логов сервису whois, увидел, что там ничего не сказано про AKAMAI, а принадлежат они организации IANA:

Код:

IP        65.55.184.26

IP Location:         United States

Resolve Host:         65.55.184.26

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf



% Note: This output has been filtered.

% To receive output for a database update, use the "-B" flag.



% Information related to '0.0.0.0 - 255.255.255.255'



inetnum: 0.0.0.0 - 255.255.255.255

netname: IANA-BLK

descr: The whole IPv4 address space

country: EU # Country is really world wide

org: ORG-IANA1-RIPE

admin-c: IANA1-RIPE

tech-c: IANA1-RIPE

status: ALLOCATED UNSPECIFIED

remarks: The country is really worldwide.

remarks: This address space is assigned at various other places in

remarks: the world and might therefore not be in the RIPE database.

mnt-by: RIPE-NCC-HM-MNT

mnt-lower: RIPE-NCC-HM-MNT

mnt-routes: RIPE-NCC-RPSL-MNT

source: RIPE # Filtered



organisation: ORG-IANA1-RIPE

org-name: Internet Assigned Numbers Authority

org-type: IANA

address: see http://www.iana.org

remarks: The IANA allocates IP addresses and AS number blocks to RIRs

remarks: see http://www.iana.org/ipaddress/ip-addresses.htm

remarks: and http://www.iana.org/assignments/as-numbers

e-mail: bitbucket@ripe.net

admin-c: IANA1-RIPE

tech-c: IANA1-RIPE

mnt-ref: RIPE-NCC-HM-MNT

mnt-by: RIPE-NCC-HM-MNT

source: RIPE # Filtered



role: Internet Assigned Numbers Authority

address: see http://www.iana.org.

e-mail: bitbucket@ripe.net

admin-c: IANA1-RIPE

tech-c: IANA1-RIPE

nic-hdl: IANA1-RIPE

remarks: For more information on IANA services

remarks: go to IANA web site at http://www.iana.org.

mnt-by: RIPE-NCC-MNT

source: RIPE # Filtered

Код:

IP        207.46.21.58

IP Location:         United States

Resolve Host:         207.46.21.58

% This is the RIPE Database query service.

% The objects are in RPSL format.

%

% The RIPE Database is subject to Terms and Conditions.

% See http://www.ripe.net/db/support/db-terms-conditions.pdf



% Note: This output has been filtered.

% To receive output for a database update, use the "-B" flag.



% Information related to '0.0.0.0 - 255.255.255.255'



inetnum: 0.0.0.0 - 255.255.255.255

netname: IANA-BLK

descr: The whole IPv4 address space

country: EU # Country is really world wide

org: ORG-IANA1-RIPE

admin-c: IANA1-RIPE

tech-c: IANA1-RIPE

status: ALLOCATED UNSPECIFIED

remarks: The country is really worldwide.

remarks: This address space is assigned at various other places in

remarks: the world and might therefore not be in the RIPE database.

mnt-by: RIPE-NCC-HM-MNT

mnt-lower: RIPE-NCC-HM-MNT

mnt-routes: RIPE-NCC-RPSL-MNT

source: RIPE # Filtered



organisation: ORG-IANA1-RIPE

org-name: Internet Assigned Numbers Authority

org-type: IANA

address: see http://www.iana.org

remarks: The IANA allocates IP addresses and AS number blocks to RIRs

remarks: see http://www.iana.org/ipaddress/ip-addresses.htm

remarks: and http://www.iana.org/assignments/as-numbers

e-mail: bitbucket@ripe.net

admin-c: IANA1-RIPE

tech-c: IANA1-RIPE

mnt-ref: RIPE-NCC-HM-MNT

mnt-by: RIPE-NCC-HM-MNT

source: RIPE # Filtered



role: Internet Assigned Numbers Authority

address: see http://www.iana.org.

e-mail: bitbucket@ripe.net

admin-c: IANA1-RIPE

tech-c: IANA1-RIPE

nic-hdl: IANA1-RIPE

remarks: For more information on IANA services

remarks: go to IANA web site at http://www.iana.org.

mnt-by: RIPE-NCC-MNT

source: RIPE # Filtered



% Information related to '207.46.0.0/19AS8068'



route: 207.46.0.0/19

descr: Microsoft European IDCs

origin: AS8068

mnt-by: MICROSOFT-MAINT

source: RIPE # Filtered

cameron, большое спасибо за помощь!